La RGPD entre bientôt en vigueur. Les entreprises vont devoir analyser quelles données elles collectent, pourquoi et si elles doivent les déclarer.

Directive européenne, la réglementation générale de la protection des données entre en vigueur le 25 mai 2018. Fichiers clients, fichiers prospects, données de géolocalisation des véhicules des salariés… La grande majorité des entreprises — pour ne pas dire toutes — est concernée. Elles devront nommer un référent chargé de réaliser un inventaire des fichiers et des types de données, d’en déterminer les finalités et les moyens de traitement. « Cette personne n’est pas nécessairement destinataire des données. Elle doit résider sur le territoire français », précise Jocelyn Bouilhol, chef de projet chez Espace Numérique Entreprise. « Pour chaque fichier, il faudra se demander s’il s’agit de données à caractère personnel, si un traitement est appliqué à ces données et si l’on se situe dans un cadre strictement personnel ou professionnel. Une donnée est considérée comme personnelle à partir du moment où elle permet d’identifier la personne », poursuit-il.

Il existe une dispense de déclaration à la Commission nationale informatique et liberté (Cnil) pour les associations, les fichiers non-commerciaux et les fichiers fournisseurs. Les fichiers clients et prospects font l’objet d’une déclaration simplifiée, les données issues de la vidéosurveillance du lieu de travail d’une déclaration normale. Les fichiers de prévention de chèques impayés et les données nécessaires au contrôle biométrique sont soumis à autorisation. La déclaration porte sur l’existence de ces fichiers. Ils ne sont pas transmis.

Consentement

« La démarche auprès de la Cnil prend peu de temps. La RGPD induit, en revanche, un changement de philosophie, note Jocelyn Bouilhol. Un gros travail sera à réaliser sur le recueil du consentement de l’individu sur la collecte et le traitement de ses datas. Sans doute faudra-t-il demander ce consentement pour chacun des usages. Il devient en effet obligatoire de préciser l’objectif de cette collecte. De plus, le texte introduit une notion de proportionnalité entre les données collectées et l’usage auquel on les destine. Il faut préciser les moyens de sécurisation mis en place. On ne peut pas les conserver indéfiniment. Et l’on doit informer les utilisateurs de leurs droits sur l’effacement et la portabilité des données. De plus, la sécurité des données doit être intégrée dès la conception du produit. Les entreprises vont devoir s’interroger, savoir qui a accès aux données, en tout ou partie et pour quel usage. » Et le chef de projet de l’ENE de rappeler les règles des sites internet : bandeau d’alerte sur les cookies, système d’opt-in pour accepter le recueil et le traitement de ses données (la case ne doit pas être précochée) et numéro d’agrément de la Cnil (fourni après déclaration des fichiers) à indiquer dans les mentions légales. Les mails d’information et mails commerciaux doivent contenir un lien de désinscription (opt-out), d’autant qu’il existe une tolérance sur la constitution d’un fichier clients ou prospects à partir des cartes de visite obtenues, par exemple, lors d’un salon. Faire n’importe quoi avec les données, c’est s’exposer à des amendes jusqu’à 4 % du chiffre d’affaires de l’entreprise.

Sécurité

La RGPD correspond à une vraie attente du public. En effet, 88 % des consommateurs font de la sécurité des données, un enjeu clé de l’acte d’achat, achat au moment duquel 57 % hésitent à donner des informations personnelles.

Soirée Numéribourg

Jocelyn Bouilhol intervenait le 22 novembre dans le cadre de la première soirée de conférences organisée par Numéribourg, le groupement des entreprises du numérique du bassin de Bourg-en-Bresse. Ces soirées correspondent aux objectifs de l’association, de permettre aux acteurs de la filière de se rencontrer, d’échanger et de faire connaître leur offre.

Par Sébastien Jacquart